Nessus 是一款功能強大的弱點掃描軟體,其在 2.3.3 版本中 web-based 的 UI 存在 XSS 漏洞。
Web UI Ver. 2.3.3. Build #83
當建立一個 Malicious web server 返回偽造的 host header〈內含 JavaScript〉,當 client 每次觀看 scanning report 時,因為 xss 會儲存在 database 中形成 stored xss ,故 reort 會返回 server header 造成危害。
升級至最新版本。
參考資料:http://seclists.org/fulldisclosure/2014/Oct/26